Перехват пути через переменную среды PATH

Злоумышленники могут выполнять свои собственные вредоносные полезные нагрузки, перехватывая переменные среды, используемые для загрузки библиотек. Переменная среды PATH содержит список каталогов (пользовательских и системных), через которые операционная система выполняет последовательный поиск исполняемого файла, который был вызван из скрипта или командной строки. Злоумышленники могут разместить вредоносную программу в более ранней записи в списке каталогов, хранящихся в переменной среды PATH, в результате чего операционная система будет выполнять вредоносный исполняемый файл, а не законный исполняемый файл при последовательном поиске по этому списку PATH. Например, в Windows, если злоумышленник размещает вредоносную программу с именем "net.exe" в `C:\example path`, который по умолчанию предшествует `C:\Windows\system32\net.exe` в переменной среды PATH, когда "net" выполняется из командной строки, вместо законного исполняемого файла системы по адресу `C:\Windows\system32\net.exe` будет вызван `C:\example path`. Некоторые методы выполнения программы полагаются на переменную среды PATH для определения мест, которые ищутся, когда путь к программе не задан, например, выполнение программ из Интерпретатора команд и сценариев. Злоумышленники также могут напрямую изменять переменную $PATH, указывающую каталоги для поиска. Злоумышленник может изменить переменную `$PATH`, чтобы она указывала на каталог, к которому у него есть доступ на запись. Когда вызывается программа, использующая переменную $PATH, ОС выполняет поиск в указанном каталоге и выполняет вредоносный исполняемый файл. В macOS это также может быть выполнено путем изменения переменной $HOME. Эти переменные могут быть изменены с помощью командной строки, launchctl, Изменения конфигурации оболочки Unix или изменения содержимого папки `/etc/paths.d`.